Eine Datenschutzerklärung für Facebook Lead Ads ist die live erreichbare Webseite, die du in einem lead form verlinkst, um offenzulegen, wie du die personenbezogenen Daten verarbeitest, die du sammelst. Metas Lead Ad Terms machen diese URL verpflichtend, bevor irgendein Lead Ad läuft, und Datenschutzgesetze wie GDPR und CCPA verlangen denselben Hinweis. Sie muss erklären, was du sammelst, wie du es nutzt, mit wem du es teilst, welche Rechte Nutzer haben und ab wann sie gilt. Der Link darf kein PDF sein, und unter GDPR sind du und Meta gemeinsam Verantwortliche.
Du hast die Audience gebaut, das Creative geschrieben, das Formular gestaltet, und dann stoppt dich Meta bei einem einzigen Feld: Datenschutzerklärung, Link URL. Ohne sie kannst du die Anzeige nicht veröffentlichen. Genau an diesem Feld bleiben viele Lead-Kampagnen hängen, weil dir niemand gesagt hat, was dort hinein gehört, was es sagen muss oder warum der falsche Link zur Ablehnung führt.
Eine Datenschutzerklärung für Facebook Lead Ads ist nicht optional und keine Formalität. Sie ist doppelt erforderlich: einmal durch Metas eigene Lead Ad Terms und nochmals durch Datenschutzrecht in fast jedem Markt, in dem du wirbst. Die gute Nachricht: Die Anforderungen sind stabil und konkret. Wenn du sie einmal verstanden hast, kannst du das einmal einrichten und dich nicht mehr darum sorgen. Dieser Guide ist der vollständige Walkthrough zur Privacy- und Opt-in-Seite des Facebook Lead Ads Formats: was die Richtlinie offenlegen muss, wie du die URL zu deinem Formular hinzufügst, ein Muster, das du anpassen kannst, und wie du die Ablehnungen ausräumst, über die die meisten Werbetreibenden stolpern.
Ich habe Lead-Kampagnen über Agentur- und In-house-Accounts hinweg gelauncht, und die Datenschutzerklärung ist der häufigste Grund, warum eine fertige Anzeige im Review-Limbo sitzt. Fast immer ist es ein kleines, behebbares Problem. Entfernen wir es endgültig.
Verlangen Facebook Lead Ads wirklich eine Datenschutzerklärung?
Ja, und die Pflicht kommt aus zwei unabhängigen Richtungen.
Die erste ist Meta. Wenn du die Lead Ad Terms akzeptierst (was du pro Page tun musst, bevor irgendein Lead Ad läuft), stimmst du zu, dass jedes Lead Ad die notwendigen Offenlegungen und Wahlmechanismen enthält, um geltendes Recht einzuhalten, einen klaren Hinweis, dass über das Formular übermittelte Daten deiner Datenschutzerklärung unterliegen, und einen Link zu dieser Datenschutzerklärung. Die Terms, zuletzt geändert im Oktober 2025, verbieten außerdem Targeting Minderjähriger und das Sammeln sensibler oder verbotener Informationen. Das instant form erzwingt das direkt: Das Feld Privacy Policy URL ist ein harter Gate, und das Formular wird nicht veröffentlicht, solange es leer ist.
Die zweite ist das Gesetz. Sobald ein Nutzer einen Namen, eine E-Mail oder Telefonnummer in dein Formular tippt, sammelst du personenbezogene Daten. Das löst Transparenzpflichten unter GDPR, UK GDPR, CCPA, Kanadas PIPEDA, Brasiliens LGPD und den meisten anderen modernen Datenschutzregimen aus. Diese Gesetze verlangen, dass du Menschen zum Zeitpunkt der Erhebung sagst, was du sammelst und warum. Genau das macht die verlinkte Richtlinie.
Du wählst also nie zwischen Metas Regeln und dem Gesetz. Beides gilt gleichzeitig, und eine einzelne konforme, gehostete Richtlinie erfüllt beides. Das Feld befindet sich im instant form von Meta, im Bereich Privacy, wo du später in diesem Guide deine URL einfügst.
Was Meta von deiner Datenschutzerklärung verlangt
Meta diktiert nicht den genauen Text deiner Richtlinie und verlangt keine individuelle. Die offizielle Anleitung zu Datenschutzerklärungen für Lead Ads listet stattdessen die Themen, die du adressieren sollst:
- Welche Art von Informationen du sammelst
- Wie du die gesammelten Informationen nutzt
- Ob du sie mit Affiliates oder Dritten teilst
- Ob Kunden die Informationen, die du hältst, einsehen oder löschen können
- Wie du auf rechtliche Anfragen reagierst
- Wie du Kunden über Änderungen deiner Datenschutzpraktiken informierst
- Wie Kunden dich bei Fragen kontaktieren können
- Das Gültigkeitsdatum der Richtlinie
Zwei Regeln in dieser Anleitung werden ständig übersehen, und beide verursachen Ablehnungen. Erstens darf die Richtlinien-URL nicht direkt auf ein PDF, ein Bild oder einen direkten Download verlinken. Sie muss eine echte Webseite sein, die in der App öffnet. Zweitens brauchst du keine brandneue Richtlinie: Eine bestehende geschäftliche Datenschutzerklärung ist in Ordnung, solange sie das Lead Ad wirklich abdeckt.
Über die Datenschutzerklärung hinaus muss das Formular Metas breitere Werberegeln zu verbotenen Inhalten und Fragen einhalten. Wenn du unsicher bist, was in deiner Kategorie durch Review kommt, deckt unsere Aufschlüsselung der Meta ad guidelines das breitere Compliance-Bild rund um deine lead forms ab.
Fragen, die du nicht stellen darfst
Metas Lead Ad Terms und Advertising Standards verbieten, sensible oder eingeschränkte Daten in einem instant form zu sammeln. Frage ohne vorherige schriftliche Genehmigung von Meta nichts davon ab:
- Kontonummern, Nutzernamen oder Passwörter
- Staatlich ausgestellte Identifikatoren (Sozialversicherungsnummern, Führerscheine)
- Finanz- oder Versicherungsinformationen
- Gesundheitsinformationen
- Strafregister
- Rasse oder Ethnie, Religion, politische Zugehörigkeit, sexuelle Orientierung oder Gewerkschaftsmitgliedschaft
Das prägt auch deine Richtlinie: Sie sollte niemals nahelegen, dass du Daten sammelst, die du nicht erheben darfst. Wende Datenminimierung an und frage nur ab, was du wirklich brauchst, um das Angebot zu erfüllen.
Was das Gesetz verlangt: GDPR, CCPA und die Joint-Controller-Falle
Metas Checkliste ist die Untergrenze. Datenschutzrecht ergänzt die Struktur, und ein Detail überrascht fast jeden Werbetreibenden.
Unter GDPR sind sowohl Meta als auch der Werbetreibende Datencontroller für Lead Ads. Ihr seid gemeinsam Verantwortliche. Das ist Metas eigene erklärte Position, und sie zählt, weil du nicht auf Meta zeigen und annehmen kannst, die Plattform trage die Compliance-Last. Jede Partei ist verantwortlich, einen Hinweis bereitzustellen und eine Rechtsgrundlage für die Verarbeitung festzulegen. Einfach gesagt: Du bist dafür verantwortlich, Nutzern zu sagen, wie ihre Lead-Daten genutzt werden, und deine Richtlinie sollte anerkennen, dass du Daten mit Meta teilst, um deine Ads auszuliefern und zu messen.
Der Rest des GDPR-Bildes ist vertraut. Du brauchst eine Rechtsgrundlage (Einwilligung oder berechtigtes Interesse, wobei Einwilligung typisch für Follow-up-Marketing ist). Einwilligung muss freiwillig, spezifisch, informiert und eindeutig sein, was vorangekreuzte Kästchen und gebündelte Berechtigungen ausschließt. Wenn du Menschen nach dem Absenden per E-Mail kontaktieren willst, hole ein separates Marketing-Opt-in ein, statt es in die Lead-Einsendung einzubauen. Nutzer haben Rechte auf Zugriff, Korrektur und Löschung ihrer Daten, und du hast in der Regel 30 Tage Zeit zu antworten.
Wenn du EU- oder UK-Nutzer ansprichst und den Meta Pixel auf deiner Website nutzt, verlangt die ePrivacy Directive eine Einwilligung, bevor nicht notwendige Tracker feuern. Deshalb erscheint für diese Besucher ein Cookie-Banner. In Kalifornien geben dir CCPA und CPRA bis zu 45 Tage, um auf Anfragen zu antworten, und verlangen eine klare Beschreibung der Verbraucherrechte plus einen "Do Not Sell or Share My Personal Information"-Mechanismus, wenn irgendeine deiner Datenweitergaben als Verkauf oder Teilen zählen könnte. PIPEDA und LGPD erlegen vergleichbare Transparenzpflichten auf. Der Punkt ist bei allen gleich: Sage Menschen schriftlich, was du mit ihren Daten machst.
Was hinein gehört: Die Klausel-für-Klausel-Checkliste
Eine Richtlinie, die sowohl Meta als auch die großen Datenschutzgesetze erfüllt, deckt diese Abschnitte ab. Behandle sie als Checkliste, nicht als Skript.
- Wer du bist. Dein Unternehmensname und eine echte Kontaktmöglichkeit (E-Mail oder Adresse), plus Data Protection Officer Kontakt, falls du einen hast.
- Was du sammelst. Die Datenkategorien, die dein Formular erfasst (Name, E-Mail, Telefon), sowie vorbefüllte oder Tracking-Daten.
- Wie du es nutzt. Jeder Zweck ausformuliert: Angebot erfüllen, Follow-up, E-Mail-Marketing bei Einwilligung, Retargeting, Analytics.
- Rechtsgrundlage (EU/UK). Einwilligung oder berechtigtes Interesse für jeden Zweck.
- Mit wem du es teilst. Nenne dein CRM, deine E-Mail-Plattform oder Agentur nach Namen oder Kategorie und erkenne Metas Rolle bei Auslieferung und Messung von Ads an.
- Meta Pixel und Business Tools Klausel. Wenn du den Pixel nutzt, verlangen die Business Tools Terms einen klaren Hinweis, dass Meta und Dritte Cookies und ähnliche Technologien nutzen, um Ads zu messen und zu targeten, plus wie Nutzer widersprechen können (Links zu zentralen Opt-out-Seiten auf aboutads.info/choices und youronlinechoices.eu oder Facebook Ad Preferences).
- Rechte der betroffenen Personen. Wie Nutzer zugreifen, korrigieren, löschen oder Einwilligung widerrufen können, mit Antwortfristen (30 Tage EU/UK, 45 Tage Kalifornien) und bundesstaatsspezifischen Rechten.
- Aufbewahrung und Sicherheit. Wie lange du Leads behältst und dass du sie mit angemessenen Maßnahmen schützt.
- Änderungen und Gültigkeitsdatum. Das Gültigkeitsdatum und wie du Menschen über Updates informierst.
Schreibe sie in klarer Sprache. Eine Wand aus Juristendeutsch ist für Nutzer schwerer zu vertrauen und für Metas Reviewer schwerer zu validieren.
Ein Beispielabschnitt für Lead Ads in deiner Datenschutzerklärung
Das ist ein Startgerüst, keine Rechtsberatung. Ersetze die Klammerteile und lass es professionell prüfen, bevor du dich darauf verlässt, besonders bei EU- oder Kalifornien-Audiences.
Datenschutzerklärung von [Unternehmensname] Gültig ab: [Datum]
Informationen, die wir sammeln. Wenn du eines unserer Facebook- oder Instagram-Lead-Formulare absendest, sammeln wir die Angaben, die du bereitstellst, etwa deinen Namen, deine E-Mail-Adresse und deine Telefonnummer.
Wie wir sie nutzen. Wir nutzen diese Informationen, um [das angefragte Angebot zu liefern], dich zu [deiner Anfrage] zu kontaktieren und dir, sofern du zugestimmt hast, Marketingkommunikation zu senden. Du kannst deine Einwilligung jederzeit widerrufen oder dich abmelden.
Mit wem wir sie teilen. Wir teilen deine Daten mit [CRM/E-Mail-Anbieter], um Follow-up zu verwalten, und mit Meta Platforms, Inc., um unsere Ads auszuliefern und zu messen. Wir verkaufen deine personenbezogenen Informationen nicht.
Tracking-Technologien. Unsere Website nutzt den Meta Pixel und ähnliche Tools, um Ad-Performance zu messen und relevante Ads anzuzeigen. Du kannst über youronlinechoices.eu, aboutads.info/choices oder deine Facebook Ad Preferences widersprechen.
Deine Rechte. Du kannst Zugriff, Korrektur oder Löschung deiner Daten verlangen, indem du eine E-Mail an [privacy@yourbusiness.com] sendest. Wir antworten innerhalb von [30/45] Tagen.
Änderungen. Wir können diese Richtlinie aktualisieren und veröffentlichen das neue Gültigkeitsdatum hier.
Verankere den Link, den du in Facebook einfügst, auf den relevanten Abschnitt der Seite, damit mobile Nutzer direkt dort landen.
Wie du deine Datenschutzerklärungs-URL zum instant form hinzufügst
Sobald deine Richtlinie live ist, dauert das Hinzufügen weniger als eine Minute:
- Erstelle in Ads Manager deine Kampagne mit einem Lead-Generation-Ziel oder öffne dein Formular in Meta Business Suite.
- Erstelle oder bearbeite in der Anzeigen-Creative das instant form.
- Öffne den Bereich Privacy des Formular-Editors.
- Klicke auf Add privacy policy und füge deine Link URL in das Feld ein. Die Seite muss live und mobilefreundlich sein.
- Setze optional den Link Text. Ihn bei "Privacy Policy" zu lassen, ist die klarste Wahl.
- Speichere das Formular und teste den Link dann auf einem Telefon, bevor du veröffentlichst.
Nutze eine saubere URL ohne Tracking-Parameter. Metas URL-Validierung kann Links mit angehängten Query Strings markieren, und ein parameterlastiger Link ist eine weitere Möglichkeit, im Review hängen zu bleiben.
"Ich habe keine Website" und andere Randfälle
Das ist die Frage, die Marketingforen füllt: Jemand fährt ein Lead Ad für ein Nebenprojekt, einen lokalen Service oder einen Kunden und hat keine Domain. Du brauchst trotzdem eine öffentlich erreichbare, nicht als PDF bereitgestellte Datenschutzseite. Am URL-Feld führt kein Weg vorbei, aber es gibt mehrere einfache Wege, eine zu erstellen.
Grob nach Geschwindigkeit sortiert:
- Kostenlose gehostete Richtlinien-Generatoren. TermsFeed, iubenda, CookieYes und Privyr erstellen alle eine Datenschutzerklärung und hosten sie unter einer Live-URL, die du direkt ins Formular einfügen kannst. Basisversionen sind oft kostenlos; Anpassung und Mehrsprachigkeit kosten meist extra.
- Eine kostenlose One-Page-Site. Google Sites, eine kostenlose Wix- oder WordPress-Seite oder GitHub Pages geben dir eine HTML-URL. Veröffentliche dort deinen Richtlinientext und bestätige, dass er auf Mobile öffnet.
- Metas eigener Richtlinienlink. Nutze ihn nicht. Ein Link zu facebook.com/privacy beschreibt Metas Datenpraktiken, nicht deine, und legt nicht offen, wie du die Leads verarbeitest. Er führt häufig zu Ablehnungen, und selbst wenn er durchrutscht, bleibst du nicht compliant.
Noch ein praktischer Punkt: Eine einzelne Richtlinie kann Facebook, Instagram, Messenger, WhatsApp und sogar TikTok- oder LinkedIn-Lead-Gen abdecken, solange sie jede Plattform, die du nutzt, klar nennt und auf sie anwendbar ist. Du brauchst kein separates Dokument pro Kanal. Wenn verschiedene Rechtsträger verschiedene Ad Accounts besitzen, ist das der einzige Fall, in dem separate Richtlinien Sinn machen.
Warum dein Lead Ad wegen der Datenschutzerklärung abgelehnt wurde
Wenn ein fertiges Lead Ad mit einem Datenschutzerklärungsfehler zurückkommt, ist es fast immer eines davon:
- Kaputter oder nicht erreichbarer Link. Die URL liefert 404, enthält einen Tippfehler oder erfordert Login. Öffne sie in einem Inkognito-Fenster, um zu bestätigen, dass sie für alle lädt.
- Falscher Dateityp. Sie zeigt auf ein PDF, ein Bild, ein Word-Dokument oder einen Download-Button. Wandle sie in eine normale Webseite um.
- Keine sichtbare Richtlinie. Der Link geht auf deine Homepage oder eine Kontaktseite ohne echten Datenschutzhinweis. Verlinke direkt auf die Richtlinienseite, idealerweise mit "Privacy" in URL und Titel.
- Kopierter oder generischer Text. Eine Vorlage, die deine lead forms, deine Datennutzung oder Metas Tools nie erwähnt, kann manuelles Review auslösen. Mache sie spezifisch für deine Kampagne.
- Nicht mobilefreundlich. Lead Ads laufen stark auf Mobile. Wenn die Seite auf einem Telefon schwer zu nutzen oder langsam ist, kann Review sie ablehnen.
Prüfe Metas Ad-Diagnosen auf den konkreten Grund, behebe die Seite und reiche erneut ein. Die meisten Datenschutz-Ablehnungen lösen sich bei der ersten Korrektur.
Einmal einrichten, dann launchen
Die Datenschutzerklärungspflicht fühlt sich beim ersten Mal wie eine Straßensperre an, ist aber ein einmaliges Setup. Sobald du eine live erreichbare, mobilefreundliche, nicht als PDF bereitgestellte Richtlinie hast, die deine Datenpraktiken und deine Nutzung von Metas Tools offenlegt, kannst du dieselbe URL über jedes Lead Ad, jede Plattform und jede Kampagne hinweg wiederverwenden. Der schwierige Teil war nie die Richtlinie. Es ist alles danach: Formulare bauen, Angebote testen und Creative in dem Volumen shippen, das deinen cost per lead wirklich bewegt. Bring das Compliance-Stück einmal sauber in Ordnung, damit es dich keine Launch-Tage mehr kostet, und stecke deine Energie in die Tests, die den Account wachsen lassen.
Häufig gestellte Fragen
Die FAQs oben beantworten die häufigsten Fragen zu Datenschutzerklärungen für Facebook Lead Ads, einschließlich ob du deine bestehende Richtlinie wiederverwenden kannst, was du ohne Website machst, warum Ads abgelehnt werden und Metas Joint-Controller-Status unter GDPR.
